SLOW HTTP공격에 대하여

Slow HTTP 공격류들은 분류를 하면 모두 웹 서버에게 시행하는 Dos 공격이다.(사실 TCP 80을 지원하면 어디든 가능하다) 모두 조작된 패킷을 발송하여 서버가 정상적인 패킷을 받을 때까지 대기하는 유사한 특징을 가지고 있다. 

 

---

Slow HTTP POST Attack

RUDY(R U Dead Yet)으로 다른말로는 Slow HTTP POST Dos로 동작 방식은 다음과 같다.
그중 POST메소드로 대량의 데이터를 분할 전송(HTTP 206 Paritial Content)하여 연결을 유지시키는 방법을 사용한다.
서버가 POST 세션으로 데이터가 분할되어 전송이 완료되지 않았다면 세션을 유지하는 특성을 적극 활용한다.

Slow HTTP Header Attack

조작된 HTTP Header를 발송한다. 서버는 정상적인 Header를 수신할 때까지 존버 한다.

Slow HTTP Read Attack

TCP의 제공기능중 Sliding Window라는 기능이 있다. 이명으로 흐름 제어라고 불리는데, 수신 측과 송신 측이 자신이 수신 가능한 버퍼의 크기를 TCP 패킷 전송 시 같이 전송하여(이때 그 크기를 Window Size라고 칭한다) 그만큼의 데이터만 보내도록 유도하는 파라미터인데, attacker가 서버에게 Window Size 0인 패킷을 발송하여 서버는 연결을 유지한 상태로 무한 대기상태에 빠지는 취약점을 이용한 공격이다.

 

아래는 비교점을 정리한 표이다.

 

* Slow HTTP류의 공격은 대응책이 명확하다.

"세션수나 세션타임을 제한할 것"

---

기회가 되면 실습파일을 올려보겠다.